科學(xué)管理體系確保數(shù)據(jù)中心安全

文/萬(wàn)林

與一般的管理體系相同，數(shù)據(jù)中心安全的管理也遵循二八原則，即二成的問(wèn)題可以通過(guò)技術(shù)手段解決，更多的八成問(wèn)題則只能依靠管理手段才能較好地解決。

當(dāng)前數(shù)據(jù)中心安全風(fēng)險(xiǎn)

數(shù)據(jù)中心是目前最重要的組織級(jí)信息服務(wù)的提供與承載平臺(tái)，因此這也是信息安全風(fēng)險(xiǎn)最為密集的具體場(chǎng)景。遵照信息服務(wù)的一般邏輯結(jié)構(gòu)，當(dāng)前數(shù)據(jù)中心應(yīng)對(duì)安全風(fēng)險(xiǎn)的處置目標(biāo)可以概括為：數(shù)據(jù)安全、信息服務(wù)安全和其他安全。

數(shù)據(jù)安全

數(shù)據(jù)安全的目標(biāo)是使數(shù)據(jù)在存儲(chǔ)、傳輸以及處理的各個(gè)時(shí)期都能保證其完整準(zhǔn)確，并保持其保密性。其中在數(shù)據(jù)中心常見(jiàn)的涉及數(shù)據(jù)安全的事件包括存儲(chǔ)介質(zhì)故障、密碼破解、網(wǎng)頁(yè)或數(shù)據(jù)庫(kù)篡改、網(wǎng)站掛馬、數(shù)據(jù)泄密等。

信息服務(wù)安全

信息服務(wù)安全的目標(biāo)是保障服務(wù)的連續(xù)性，使信息服務(wù)可以在任何時(shí)空地域都可以被確定的用戶正常的使用，或者信息服務(wù)可以在遭受來(lái)自?xún)?nèi)部或外部的不利影響時(shí)能夠快速的恢復(fù)服務(wù)，提高系統(tǒng)平均無(wú)故障時(shí)間（MTBF，MeanTimeBetweenFailures）。

提高信息服務(wù)安全的具體途徑主要包括：分布式系統(tǒng)、容災(zāi)備份等。

其他安全

其他安全包括任何可能影響數(shù)據(jù)安全和信息服務(wù)安全的其他安全因素。例如配電系統(tǒng)的安全、制冷系統(tǒng)的安全、建筑物的安全、人員和其他利益相關(guān)方安全，以及其他潛在和未知的風(fēng)險(xiǎn)等。

數(shù)據(jù)中心安全與ISMS

適合于數(shù)據(jù)中心的ISMS需要對(duì)ISO/IEC 27000進(jìn)行裁剪，使其成為完全面向數(shù)據(jù)中心相關(guān)對(duì)象的管理體系。在面對(duì)各種安全風(fēng)險(xiǎn)時(shí)，技術(shù)手段通常是能夠根本解決大多數(shù)安全風(fēng)險(xiǎn)的最有效方式，因此也是組織內(nèi)部安全風(fēng)險(xiǎn)處置決策時(shí)的首選。然而與一般的管理體系相同，數(shù)據(jù)中心安全的管理也遵循二八原則，即二成的問(wèn)題可以通過(guò)技術(shù)手段解決，更多的八成問(wèn)題則只能依靠管理手段才能較好地解決。因此在數(shù)據(jù)中心安全管理體系中，管理手段占有主導(dǎo)地位，但只有技術(shù)與管理手段的有機(jī)結(jié)合才能發(fā)揮安全體系的最大效能。

數(shù)據(jù)中心安全管理的具體實(shí)踐

資產(chǎn)管理

1.管理目標(biāo)

對(duì)應(yīng)ISO/IEC 27002的7、9。

通過(guò)對(duì)所有數(shù)據(jù)中心所有的設(shè)施資產(chǎn)的登記與定位，使數(shù)據(jù)中心安全管理體系明確需要關(guān)注的對(duì)象。具體包括資產(chǎn)數(shù)量、功能、性能、用途、所在位置、當(dāng)前狀態(tài)等。此外這些內(nèi)容也將幫助在風(fēng)險(xiǎn)評(píng)估小組時(shí)對(duì)與硬件設(shè)備有關(guān)的風(fēng)險(xiǎn)進(jìn)行考察。

2.實(shí)現(xiàn)途徑

例如山東大學(xué)的數(shù)據(jù)中心以方形地板磚為地理定位的標(biāo)準(zhǔn)，對(duì)所有的地板磚進(jìn)行編號(hào)，以機(jī)柜和其他設(shè)備所占據(jù)的地板編號(hào)為定位點(diǎn)，每個(gè)機(jī)柜和占據(jù)地板磚的設(shè)備上標(biāo)示其所占地板磚編號(hào)。此外所有的記錄文本都在“山東大學(xué)IT運(yùn)維支撐系統(tǒng)”進(jìn)行編輯和管理，在方便查詢(xún)的同時(shí)保證版本的一致。

此外“山東大學(xué)IT運(yùn)維支撐系統(tǒng)”還記錄了《設(shè)備狀態(tài)跟蹤表》的內(nèi)容，可以根據(jù)設(shè)備型號(hào)、配置、廠商、網(wǎng)絡(luò)地址、使用單位、地理位置等信息對(duì)設(shè)備進(jìn)行查詢(xún)管理。未來(lái)“山東大學(xué)IT運(yùn)維支撐系統(tǒng)”還將實(shí)現(xiàn)對(duì)設(shè)備實(shí)時(shí)狀態(tài)的監(jiān)控報(bào)警，并實(shí)現(xiàn)文檔的管理。

風(fēng)險(xiǎn)的評(píng)估與管理

1.管理目標(biāo)

表1 資產(chǎn)管理

對(duì)應(yīng)ISO/IEC 27001的4.2和ISO/IEC 27002的4中有關(guān)風(fēng)險(xiǎn)管理的要求。

風(fēng)險(xiǎn)管理的目的是確認(rèn)整個(gè)ISMS可能面臨的威脅數(shù)據(jù)中心安全的各種風(fēng)險(xiǎn)，并跟蹤風(fēng)險(xiǎn)的處置過(guò)程和結(jié)果。風(fēng)險(xiǎn)評(píng)估是針對(duì)數(shù)據(jù)中心的信息服務(wù)組成部分和環(huán)境設(shè)施存在的可能影響整個(gè)數(shù)據(jù)中心安全的各種威脅的識(shí)別和確認(rèn)。風(fēng)險(xiǎn)跟蹤是通過(guò)定期對(duì)已識(shí)別的風(fēng)險(xiǎn)狀態(tài)的檢查掌握所有風(fēng)險(xiǎn)的處置情況，保證盡可能多的風(fēng)險(xiǎn)都處于組織管理之中。

2.實(shí)現(xiàn)途徑

《風(fēng)險(xiǎn)管理跟蹤表》記錄每條被識(shí)別的風(fēng)險(xiǎn)，字段包括：風(fēng)險(xiǎn)編號(hào)、描述、發(fā)現(xiàn)人、備選處置措施、風(fēng)險(xiǎn)狀態(tài)（識(shí)別、接受、處理中、關(guān)閉、拒絕）、上次評(píng)估時(shí)間。

業(yè)務(wù)連續(xù)性管理

1.管理目標(biāo)

對(duì)應(yīng)ISO/IEC 27002的14。

業(yè)務(wù)連續(xù)性管理的核心內(nèi)容是根據(jù)由領(lǐng)導(dǎo)層主導(dǎo)的信息安全總體戰(zhàn)略所約束的業(yè)務(wù)連續(xù)性目標(biāo)以及影響業(yè)務(wù)連續(xù)性的風(fēng)險(xiǎn)制定對(duì)應(yīng)的業(yè)務(wù)連續(xù)性計(jì)劃，此外還包括針對(duì)業(yè)務(wù)連續(xù)性計(jì)劃開(kāi)展的條件準(zhǔn)備和驗(yàn)證。常見(jiàn)的業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)包括實(shí)現(xiàn)連續(xù)性的方法、執(zhí)行該計(jì)劃的團(tuán)隊(duì)和人員、保障業(yè)務(wù)連續(xù)性所必須的關(guān)鍵資產(chǎn)和資源。

2.實(shí)現(xiàn)途徑

當(dāng)前山東大學(xué)的業(yè)務(wù)連續(xù)性計(jì)劃主要針對(duì)不同信息服務(wù)對(duì)故障恢復(fù)時(shí)間的要求制定不同的計(jì)劃，并根據(jù)計(jì)劃的特點(diǎn)對(duì)應(yīng)用系統(tǒng)進(jìn)行的個(gè)性化的定制。對(duì)于發(fā)生故障時(shí)必須在30分鐘以?xún)?nèi)恢復(fù)的服務(wù)，其業(yè)務(wù)連續(xù)性計(jì)劃要求系統(tǒng)由冗余的多活服務(wù)器節(jié)點(diǎn)組成，服務(wù)不會(huì)因?yàn)橛捎谝粋€(gè)服務(wù)器節(jié)點(diǎn)的故障導(dǎo)致服務(wù)中斷。同時(shí)所有的系統(tǒng)數(shù)據(jù)保存在專(zhuān)用的存儲(chǔ)設(shè)備，并實(shí)現(xiàn)與備份存儲(chǔ)設(shè)備的數(shù)據(jù)鏡像，保證存儲(chǔ)服務(wù)的可靠性。而對(duì)于故障恢復(fù)時(shí)間在數(shù)小時(shí)以?xún)?nèi)的服務(wù)，計(jì)劃僅要求對(duì)數(shù)據(jù)進(jìn)行異地備份，并且不要求系統(tǒng)的多節(jié)點(diǎn)部署。目前已形成以《校園信息系統(tǒng)業(yè)務(wù)連續(xù)性管理》為核心，共計(jì)20個(gè)文件組成的業(yè)務(wù)連續(xù)性管理體系。

表2 風(fēng)險(xiǎn)的評(píng)估與管理

操作管理和訪問(wèn)控制

對(duì)應(yīng)ISO/IEC 27002的10、11。

這一部分的主旨是通過(guò)一系列的管理手段防范來(lái)自系統(tǒng)內(nèi)部或外部的潛在威脅。具體到數(shù)據(jù)中心的環(huán)境中，建立在某些技術(shù)應(yīng)用基礎(chǔ)之上的管理體系是最有效的。

1.操作規(guī)程與變更管理

數(shù)據(jù)中心的任何配置的變更和組成部分的改變都要有文本化的操作規(guī)程作為指導(dǎo)。操作規(guī)程不是只針對(duì)一次操作或特定的系統(tǒng)所制定的，此外還應(yīng)有配套的操作記錄證明某一次操作是嚴(yán)格按照操作規(guī)程完成。

定義組織級(jí)的變更管理，對(duì)所有涉及數(shù)據(jù)中心配置的變更進(jìn)行評(píng)估和管理，并監(jiān)督變更的過(guò)程。組織專(zhuān)門(mén)的變更管理委員會(huì)對(duì)具有重大影響的變更進(jìn)行評(píng)估。

2.防范惡意代碼

防范惡意代碼的最基本目標(biāo)是防止未被授權(quán)的程序或系統(tǒng)出現(xiàn)在數(shù)據(jù)中心。數(shù)據(jù)中心應(yīng)通過(guò)建立有效的訪問(wèn)控制機(jī)制，一方面審核將要新增的程序或系統(tǒng)是否會(huì)帶來(lái)安全風(fēng)險(xiǎn)，另一方面控制這些風(fēng)險(xiǎn)可能的影響范圍，或使其無(wú)法對(duì)其他信息服務(wù)構(gòu)成影響。此外數(shù)據(jù)中心需要定期對(duì)所有系統(tǒng)進(jìn)行漏洞檢查和修復(fù)。由第三方提供的產(chǎn)品和服務(wù)要及時(shí)要求制造廠商進(jìn)行消缺和驗(yàn)證。

通常對(duì)數(shù)據(jù)中心的各個(gè)信息服務(wù)的漏洞掃描是較好的防范惡意代碼的手段，但由于不同的漏洞掃描工具均各有側(cè)重，因此應(yīng)同時(shí)應(yīng)用多種掃描工具，盡可能擴(kuò)大查找漏洞的能力。

3.備份

備份既包括最簡(jiǎn)易的數(shù)據(jù)備份，也包括異地的容災(zāi)備份。數(shù)據(jù)備份是最簡(jiǎn)易有效地應(yīng)對(duì)數(shù)據(jù)損失故障和保護(hù)數(shù)據(jù)的方法，快照是目前最常用的數(shù)據(jù)備份方式，快照的頻率和保留時(shí)間要根據(jù)組織級(jí)的數(shù)據(jù)保護(hù)策略及設(shè)備的能力和容量確定。容災(zāi)備份是位于另一個(gè)數(shù)據(jù)中心內(nèi)的數(shù)據(jù)副本。并且只有在原信息服務(wù)所在運(yùn)行環(huán)境完成不能正常運(yùn)轉(zhuǎn)時(shí)，信息服務(wù)才會(huì)轉(zhuǎn)移到容災(zāi)備份數(shù)據(jù)中心運(yùn)行，因此容災(zāi)備份更適宜于抵抗自然災(zāi)害、社會(huì)動(dòng)蕩等無(wú)法抵抗的安全風(fēng)險(xiǎn)。

表3 業(yè)務(wù)連續(xù)性管理

數(shù)據(jù)備份只能在可以容忍部分?jǐn)?shù)據(jù)丟失的數(shù)據(jù)中心完全替代數(shù)據(jù)鏡像的職責(zé)，而數(shù)據(jù)鏡像也只能在可以容忍數(shù)據(jù)不能回滾的數(shù)據(jù)中心完全替代數(shù)據(jù)備份，因此數(shù)據(jù)中心應(yīng)合理整合這兩種職責(zé)以達(dá)到最有效的風(fēng)險(xiǎn)抵御能力。

4.網(wǎng)絡(luò)訪問(wèn)控制

數(shù)據(jù)中心要根據(jù)具體應(yīng)用的特征對(duì)來(lái)自網(wǎng)絡(luò)的訪問(wèn)進(jìn)行控制。例如對(duì)于有確定用戶的服務(wù)限制非授權(quán)地址的訪問(wèn)；通過(guò)建立純內(nèi)網(wǎng)或內(nèi)外網(wǎng)融合的系統(tǒng)拓?fù)浣Y(jié)構(gòu)杜絕來(lái)自外部網(wǎng)絡(luò)的非法訪問(wèn)，或降低整個(gè)系統(tǒng)的被攻擊面積。

5.用戶和系統(tǒng)訪問(wèn)控制

用戶和系統(tǒng)訪問(wèn)控制的目的，是明確劃分不同用戶在系統(tǒng)中所具有的訪問(wèn)權(quán)限，預(yù)防用戶因不符合權(quán)限的操作導(dǎo)致故障發(fā)生。此外避免使用擁有最高權(quán)限的超級(jí)管理員進(jìn)行系統(tǒng)日常維護(hù)的操作和正常應(yīng)用。用戶所被賦予的權(quán)限應(yīng)當(dāng)定期進(jìn)行審計(jì)，及時(shí)去除與用戶不適宜的權(quán)限分配。

6.實(shí)現(xiàn)途徑

山東大學(xué)數(shù)據(jù)中心目前共有各種操作規(guī)程文件40個(gè)，并定期對(duì)所有的服務(wù)器、存儲(chǔ)設(shè)備和各個(gè)系統(tǒng)進(jìn)行檢查，評(píng)估系統(tǒng)安全隱患。山東大學(xué)的網(wǎng)絡(luò)訪問(wèn)控制通過(guò)多級(jí)的防火墻體系和其他配套設(shè)備實(shí)現(xiàn)，形成縱深配置的防火墻體系。其中軟件防火墻專(zhuān)注于訪問(wèn)控制，而硬件防火墻著重對(duì)用戶操作和流量進(jìn)行分析和過(guò)濾，防范非法的惡意操作。

此外通過(guò)建立專(zhuān)門(mén)的內(nèi)網(wǎng)環(huán)境對(duì)服務(wù)器虛擬化這樣由多服務(wù)器和存儲(chǔ)設(shè)備組成的大型系統(tǒng)集群進(jìn)行保護(hù)，保證虛擬化服務(wù)器、存儲(chǔ)設(shè)備及其他重要的集群管理系統(tǒng)與校園網(wǎng)完全隔離，僅保留虛擬機(jī)本身與校園網(wǎng)的網(wǎng)絡(luò)通訊，降低整個(gè)虛擬化集群暴露在校園網(wǎng)的被攻擊面積，提高系統(tǒng)安全性。

表4 操作管理和訪問(wèn)控制

表5 記錄與度量

表6 評(píng)審與持續(xù)改進(jìn)

記錄與度量

1. 管理目標(biāo)

組織內(nèi)部根據(jù)自身?xiàng)l件選擇合適的記錄方式、測(cè)量依據(jù)和度量項(xiàng)。

2.實(shí)現(xiàn)途徑（見(jiàn)表5）

評(píng)審與持續(xù)改進(jìn)

1.管理目標(biāo)

對(duì)應(yīng)ISO/IEC 27001的7、8和ISO/IEC 27002的 15。

評(píng)審分為內(nèi)部評(píng)審與管理評(píng)審，兩種評(píng)審都是通過(guò)對(duì)各種記錄和度量項(xiàng)的分析制定改進(jìn)方案。內(nèi)部評(píng)審是組織內(nèi)部的自我評(píng)審，是一種自查自糾式的處理方式。多數(shù)管理評(píng)審都是由管理層邀請(qǐng)第三方進(jìn)行的，以保證評(píng)審的公正有效。

持續(xù)改進(jìn)的目的是通過(guò)使用安全策略、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防性行動(dòng)和管理評(píng)審的信息持續(xù)改進(jìn)ISMS的有效性，確定需要改進(jìn)的不符合項(xiàng)。評(píng)審為持續(xù)改進(jìn)提供推動(dòng)力。

2.實(shí)現(xiàn)途徑

目前山東大學(xué)的數(shù)據(jù)中心正在通過(guò)推行ITIL最佳實(shí)踐和在系統(tǒng)軟件開(kāi)發(fā)領(lǐng)域推行CMMI項(xiàng)目管理體系，實(shí)現(xiàn)信息服務(wù)從立項(xiàng)開(kāi)發(fā)，到測(cè)試上線，再到運(yùn)維調(diào)整，到最后的服務(wù)下線的信息服務(wù)全生命周期管理。基于ISMS的數(shù)據(jù)中心安全管理體系也將逐步滲透到現(xiàn)有信息服務(wù)生命周期中。

山東大學(xué)的過(guò)程改進(jìn)小組由網(wǎng)絡(luò)與信息中心的分管副主任領(lǐng)導(dǎo)，小組成員都具有 ITIL、CMMI、ISO/IEC 9000和ISO/IEC 9000的管理經(jīng)驗(yàn)和系統(tǒng)運(yùn)維經(jīng)驗(yàn)，對(duì)國(guó)際標(biāo)準(zhǔn)和國(guó)家、地方標(biāo)準(zhǔn)有較深入的認(rèn)識(shí)，并曾經(jīng)參與過(guò)國(guó)家、地方、行業(yè)和組織內(nèi)部標(biāo)準(zhǔn)的編寫(xiě)審定工作。此外成員具有良好的溝通能力和積極主動(dòng)的問(wèn)題分析能力，適宜組織過(guò)程改進(jìn)工作的開(kāi)展。

未來(lái)發(fā)展

數(shù)據(jù)中心安全管理體系未來(lái)的重點(diǎn)是適合的工具及有力的領(lǐng)導(dǎo)與執(zhí)行力，以及通過(guò)經(jīng)驗(yàn)和知識(shí)的積累將安全管理策略直接轉(zhuǎn)換為處置方案的能力。另外未來(lái)數(shù)據(jù)中心安全管理體系還需要更多的融入到數(shù)據(jù)中心整體管理過(guò)程，從而使安全的意識(shí)和內(nèi)容滲透在數(shù)據(jù)中心的各個(gè)環(huán)節(jié)，這不僅有助于安全措施的落實(shí)，也同時(shí)也將促進(jìn)安全體系甚至整個(gè)數(shù)據(jù)中心運(yùn)營(yíng)的成熟和良性發(fā)展。

國(guó)際標(biāo)準(zhǔn)定義的ISMS體系

隨著信息化在人類(lèi)社會(huì)活動(dòng)中的深入與擴(kuò)展，信息作為一種重要的、基礎(chǔ)的組織級(jí)業(yè)務(wù)資產(chǎn)，對(duì)其進(jìn)行的安全保護(hù)已經(jīng)成為保護(hù)信息免受各種威脅的損害，確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險(xiǎn)最小化、投資回報(bào)和商業(yè)機(jī)遇最大化的最重要的保障機(jī)制。為了規(guī)范信息服務(wù)所有者、使用者以及其他利益相關(guān)方在保障特定領(lǐng)域或環(huán)境下的信息安全組織機(jī)構(gòu)、措施、審計(jì)和控制的管理職能，國(guó)際標(biāo)準(zhǔn)化組織經(jīng)過(guò)20余年的實(shí)踐與完善，形成了相對(duì)完整的以構(gòu)建一個(gè)完整有效的信息安全管理體系（Information Security Management System，簡(jiǎn)稱(chēng)ISMS）為目地的國(guó)際標(biāo)準(zhǔn)集。由于這些標(biāo)準(zhǔn)采用相同的編號(hào)首兩位數(shù)字，因此該標(biāo)準(zhǔn)架構(gòu)也被統(tǒng)一稱(chēng)作ISO/IEC27000。

ISO/IEC 27000為ISMS定義信息的隱私、保密及信息技術(shù)層面，也包含法律、人力資源管理、物資管理、供應(yīng)商管理等諸多方面。其核心主旨是通過(guò)積極主動(dòng)的信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理促使信息相關(guān)組織對(duì)所有的信息安全進(jìn)行有效的管控。ISO/IEC 27000的核心標(biāo)準(zhǔn)文本是ISO/IEC 27001《信息安全管理體系——需求》和ISO/IEC 27002《信息安全管理實(shí)施細(xì)則》。其中ISO/IEC 27001定義了ISMS所應(yīng)具有的規(guī)劃、實(shí)施、監(jiān)控與評(píng)審以及改進(jìn)。ISO/IEC 27001定義了ISMS如何運(yùn)作。ISO/IEC 27002定義了一個(gè)符合標(biāo)準(zhǔn)的ISMS最基本要實(shí)現(xiàn)的職能或功能及度量項(xiàng)。ISO/IEC 27002定義了ISMS要做什么。整個(gè)ISO/IEC 27000體系包含的標(biāo)準(zhǔn)文本22個(gè)，另外還有11個(gè)文本還處于草案階段。本文中的標(biāo)準(zhǔn)采用的 ISO/IEC 27000：2005。